前編に引き続き、3月10日に閣議決定された個人情報保護法一部改正法案に盛り込まれたクッキーに関わる規制部分について解説致します。(前編はこちらから)
第三者が個人関連情報を個人データとして取得することが想定されるとは、提供先の第三者が、その合理的に利用し得る他の情報と容易に照合して、特定の個人を識別することができる場合と考えられます。典型的には、ソーシャルメディアやeコマースプラットフォームを運営し、会員情報を管理する事業者が発行するサードパーティ・クッキーによって取得されるブラウザ識別子や閲覧情報などのデータが、タグを埋め込んだウェブサイトから当該事業者に提供され、当該事業者が会員情報と照合することによって特定の個人が識別できる場合です。また、閲覧者のアカウント管理をしていないウェブページにFacebook共有ボタン、「いいね!」ボタンなどのようなソーシャル・プラグインを埋め込む場合、埋め込み元ウェブページでは特定の個人を識別し得ない場合であっても、開示先のソーシャルメディア運営者は、アカウント情報との照合により、個人を識別できる場合があります。
このような形で第三者提供を行う場合には、(1)提供先が個人データとして取得することについて、本人の同意が得られていること、(2)提供先が外国にある場合は、同意に先立って、当該外国での個人情報保護制度、提供先が講じる個人情報保護措置などに関して情報提供されていること、の2点を開示元事業者が確認することが新たに義務づけられます。このような確認をしないで第三者提供してはならないという条文の文言から、情報提供および同意は、第三者提供に先立って事前に行われなければならない、すなわち事前の情報提供およびオプトイン同意が求められると考えられます。
新たな規制の対象となる第三者提供先として、プラットフォーマーとして会員情報を管理しつつ、サードパーティ・クッキーを発行し、ターゲティング広告事業も行っている事業者、具体的にはGoogle、Facebookなどのプラットフォーマーが考えられます。これら2社は2018年の世界デジタル広告費の過半のシェアを占め、我が国でも多くの企業がデジタルマーケティングのために利用しています。
個人関連情報の第三者提供について、本人への情報提供および同意が必要とされるのは、「個人データとして取得することが想定されるとき」とされています。「想定されるとき」の具体的内容、開示先が個人データとして取得するかどうかについて、開示元事業者は調査・確認義務を負うのか、開示先は開示元に対して個人データとして取得するかどうかについて情報提供をする義務を負うのかなど、運用の詳細については、今後、個人情報保護委員会の規則、ガイドラインなどを待つことになります。
個人関連情報第三者提供の新規制に関して、企業において必要とされる対応は以下の通りです。
改正法案附則第5条により、改正法の施行前であっても、個人関連情報の第三者提供について、改正法が求める同意に相当する同意を得た場合には、つまり、(a)開示先において個人が識別されること、(b)外国事業者への提供の場合には当該外国における個人情報保護制度および開示先事業者が講ずる個人情報保護措置の内容、について情報提供を受けたうえで本人が同意した場合には、そのような同意は、改正後においても有効であるとされています。改正前の同意が一定の場合、改正後にも有効となるので、法改正前であっても、デジタルマーケティングの新施策を採用し、ターゲティング・クッキーなどを一新する好都合なタイミングで遵守対応をスタートさせることもできます。
改正法案に関する資料(個人情報保護委員会・公式ウェブサイト)
https://www.ppc.go.jp/news/press/2019/20200310/
<本ブログ上では、端末装置への読み書きを行う技術全般、Webサイトやモバイルアプリで
利用される他の追跡技術も含め、便宜的にクッキー(Cookie)と記載しています>
ライセンス料は月額4,800円から
豊富な無料マニュアル・ガイドがあるから自社だけで導入・運用が可能